* [sisyphus] chrooted ping, traceroute and resolveip @ 2002-04-20 12:57 Vitaly Lipatov 2002-04-20 14:30 ` Mike A. Plugnikov 2002-04-20 16:50 ` [sisyphus] " Michael Shigorin 0 siblings, 2 replies; 27+ messages in thread From: Vitaly Lipatov @ 2002-04-20 12:57 UTC (permalink / raw) To: sisyphus $ ping mail.ru ping: unknown host mail.ru После обновления ни ping, ни traceroute не могут разыменовать ни одного имени кроме прописанный в hosts. И, заодно, почему в MySQL-client лежит resolveip, который выдает текстовый адрес сервера из его IP, и есть ли подобные стандартные программы. -- Lav Виталий Липатов ФГУП "ЦНИИ Судовой Электротехники и Технологии", Санкт-Петербург GNU! Linux! LaTeX! LyX! ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-20 12:57 [sisyphus] chrooted ping, traceroute and resolveip Vitaly Lipatov @ 2002-04-20 14:30 ` Mike A. Plugnikov 2002-04-20 14:43 ` Vitaly Lipatov 2002-04-20 16:50 ` [sisyphus] " Michael Shigorin 1 sibling, 1 reply; 27+ messages in thread From: Mike A. Plugnikov @ 2002-04-20 14:30 UTC (permalink / raw) To: sisyphus Vitaly Lipatov wrote: | $ ping mail.ru | ping: unknown host mail.ru | | После обновления ни ping, ни traceroute | не могут разыменовать ни одного имени кроме | прописанный в hosts. | | И, заодно, почему в MySQL-client лежит resolveip, | который выдает текстовый адрес сервера из его IP, | и есть ли подобные стандартные программы. Цитата Дмитрия Левина: "Greetings! По окончании сегодняшней синхронизации в Сизифе основные средства анализа сети chroot'изированы. Это значит, что еще до начала работы с пакетами из сети процесс будет находится в chroot'е (/var/resolv) с правами пользователя (даже если был запущен root'ом). Изменениям подверглись следующие пакеты: chrooted-resolv iputils ngrep tcpdump traceroute Новую технологию защиты поддерживают следующие программы: /bin/ping /usr/sbin/arping /usr/sbin/clockdiff /usr/sbin/ping6 /usr/sbin/tracepath /usr/sbin/tracepath6 /usr/sbin/traceroute6 /usr/sbin/traceroute /usr/sbin/tcpdump /usr/bin/ngrep Насколько мне известно, ущерба функциональности ни одной из этих программ не нанесено. P.S. Господа администраторы, по окончании внесения изменения в любой из ~ нижеперечисленных файлов, не забудьте запустить команду ~ "/usr/sbin/update_chrooted conf" ~ Список файлов: ~ /etc/{localtime,hosts,services,{host,nsswitch,resolv}.conf} ~ Regards, ~ Dmitry" ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-20 14:30 ` Mike A. Plugnikov @ 2002-04-20 14:43 ` Vitaly Lipatov 2002-04-21 8:52 ` Alexey Morozov 0 siblings, 1 reply; 27+ messages in thread From: Vitaly Lipatov @ 2002-04-20 14:43 UTC (permalink / raw) To: sisyphus On 20 April 2002 18:30, Mike A. Plugnikov wrote: > Цитата Дмитрия Левина: Я читаю все рассылки :) и все письма. > "Greetings! > По окончании сегодняшней синхронизации в Сизифе основные средства > анализа сети chroot'изированы. > Это значит, что еще до начала работы с пакетами из сети процесс будет > находится в chroot'е (/var/resolv) с правами пользователя (даже если был > запущен root'ом). > Изменениям подверглись следующие пакеты: > chrooted-resolv > iputils > ngrep > tcpdump > traceroute ... > Насколько мне известно, ущерба функциональности ни одной из этих программ > не нанесено. Вот в этом у меня и вопрос. -- Lav Виталий Липатов ФГУП "ЦНИИ Судовой Электротехники и Технологии", Санкт-Петербург GNU! Linux! LaTeX! LyX! ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-20 14:43 ` Vitaly Lipatov @ 2002-04-21 8:52 ` Alexey Morozov 2002-04-21 9:30 ` Vitaly Lipatov ` (2 more replies) 0 siblings, 3 replies; 27+ messages in thread From: Alexey Morozov @ 2002-04-21 8:52 UTC (permalink / raw) To: Sisyphus Mailing list В Сбт, 20.04.2002, в 21:43, Vitaly Lipatov написал: > ... > > Насколько мне известно, ущерба функциональности ни одной из этих программ > > не нанесено. > Вот в этом у меня и вопрос. В счрученном (руссификация терминов рулит) /etc/resolv.conf (где он там, в /var/resolv/etc/resolv.conf?) что написано? Указан ли адрес Вашего нэймсервера... 2ldv: А стоит ли овчинка выделки? Или таки хочется все, потенциально опасное отделить и запереть в песочнице? А весь линух туда не перекочует? ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-21 8:52 ` Alexey Morozov @ 2002-04-21 9:30 ` Vitaly Lipatov 2002-04-21 10:32 ` Alexey Morozov 2002-04-22 9:18 ` Dmitry V. Levin 2002-04-21 10:31 ` [sisyphus] " Michael Shigorin 2002-04-22 9:21 ` [sisyphus] " Dmitry V. Levin 2 siblings, 2 replies; 27+ messages in thread From: Vitaly Lipatov @ 2002-04-21 9:30 UTC (permalink / raw) To: sisyphus On 21 April 2002 12:52, Alexey Morozov wrote: > В счрученном (руссификация терминов рулит) /etc/resolv.conf (где он там, > в /var/resolv/etc/resolv.conf?) что написано? Указан ли адрес Вашего > нэймсервера... Да, /var/resolv/etc/resolv.conf это ссылка на /etc/ppp/resolv.conf, как и /etc/resolv.conf И адреса nameserver там есть -- Lav Виталий Липатов ФГУП "ЦНИИ Судовой Электротехники и Технологии", Санкт-Петербург GNU! Linux! LaTeX! LyX! ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-21 9:30 ` Vitaly Lipatov @ 2002-04-21 10:32 ` Alexey Morozov 2002-04-21 11:06 ` Vitaly Lipatov 2002-04-21 11:16 ` Vitaly Lipatov 2002-04-22 9:18 ` Dmitry V. Levin 1 sibling, 2 replies; 27+ messages in thread From: Alexey Morozov @ 2002-04-21 10:32 UTC (permalink / raw) To: Sisyphus Mailing list В Вск, 21.04.2002, в 16:30, Vitaly Lipatov написал: > On 21 April 2002 12:52, Alexey Morozov wrote: > > В счрученном (руссификация терминов рулит) /etc/resolv.conf (где он там, > > в /var/resolv/etc/resolv.conf?) что написано? Указан ли адрес Вашего > > нэймсервера... > Да, /var/resolv/etc/resolv.conf это ссылка на /etc/ppp/resolv.conf, как и > /etc/resolv.conf Э-э-э, какая-такая ссылка?? (С подозрением) небось, символьная, да? Дак это, не выйдет каменная ваза, после chroot(2) все эти символьные ссылки идут по женской линии... > И адреса nameserver там есть ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-21 10:32 ` Alexey Morozov @ 2002-04-21 11:06 ` Vitaly Lipatov 2002-04-21 11:16 ` Vitaly Lipatov 1 sibling, 0 replies; 27+ messages in thread From: Vitaly Lipatov @ 2002-04-21 11:06 UTC (permalink / raw) To: sisyphus On 21 April 2002 14:32, Alexey Morozov wrote: > > Да, /var/resolv/etc/resolv.conf это ссылка на /etc/ppp/resolv.conf, как и > > \r /etc/resolv.conf > > Э-э-э, какая-такая ссылка?? (С подозрением) небось, символьная, да? Дак Ну естественно. В этом и проблема > это, не выйдет каменная ваза, после chroot(2) все эти символьные ссылки > идут по женской линии... Придётся в BTS ползти... -- Lav Виталий Липатов ФГУП "ЦНИИ Судовой Электротехники и Технологии", Санкт-Петербург GNU! Linux! LaTeX! LyX! ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-21 10:32 ` Alexey Morozov 2002-04-21 11:06 ` Vitaly Lipatov @ 2002-04-21 11:16 ` Vitaly Lipatov 1 sibling, 0 replies; 27+ messages in thread From: Vitaly Lipatov @ 2002-04-21 11:16 UTC (permalink / raw) To: sisyphus On 21 April 2002 14:32, Alexey Morozov wrote: > > Да, /var/resolv/etc/resolv.conf это ссылка на /etc/ppp/resolv.conf, как и > > \r /etc/resolv.conf > > Э-э-э, какая-такая ссылка?? (С подозрением) небось, символьная, да? Дак > это, не выйдет каменная ваза, после chroot(2) все эти символьные ссылки > идут по женской линии... Теперь вопрос в другом. Откуда взялась ссылка /etc/resolv.conf->/etc/ppp/resolv.conf Она просто копируется в /var/resolv, очевидно, подразумевается, что это должна быть не ссылка, а файл... -- Lav Виталий Липатов ФГУП "ЦНИИ Судовой Электротехники и Технологии", Санкт-Петербург GNU! Linux! LaTeX! LyX! ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-21 9:30 ` Vitaly Lipatov 2002-04-21 10:32 ` Alexey Morozov @ 2002-04-22 9:18 ` Dmitry V. Levin 2002-04-22 20:05 ` Vitaly Lipatov 1 sibling, 1 reply; 27+ messages in thread From: Dmitry V. Levin @ 2002-04-22 9:18 UTC (permalink / raw) To: ALT Linux Sisyphus mailing list [-- Attachment #1: Type: text/plain, Size: 840 bytes --] On Sun, Apr 21, 2002 at 01:30:27PM +0400, Vitaly Lipatov wrote: > > В счрученном (руссификация терминов рулит) /etc/resolv.conf (где он там, > > в /var/resolv/etc/resolv.conf?) что написано? Указан ли адрес Вашего > > нэймсервера... > Да, /var/resolv/etc/resolv.conf это ссылка на /etc/ppp/resolv.conf, как и > /etc/resolv.conf > И адреса nameserver там есть Если /etc/resolv.conf - это ссылка, то _ни один из chroot'ов_ не будет работать нормально. Найдите того, кто сделал эту ссылку, и накажите. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.com/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-22 9:18 ` Dmitry V. Levin @ 2002-04-22 20:05 ` Vitaly Lipatov 2002-04-22 23:21 ` Любимов А.В. 0 siblings, 1 reply; 27+ messages in thread From: Vitaly Lipatov @ 2002-04-22 20:05 UTC (permalink / raw) To: sisyphus, Dmitry V. Levin On 22 April 2002 13:18, Dmitry V. Levin wrote: > > Да, /var/resolv/etc/resolv.conf это ссылка на /etc/ppp/resolv.conf, как и > > /etc/resolv.conf > > И адреса nameserver там есть > > Если /etc/resolv.conf - это ссылка, то _ни один из chroot'ов_ не будет > работать нормально. Найдите того, кто сделал эту ссылку, и накажите. Как мне найти того, кто resolv.conf перенёс в /etc/ppp, а в /etc сделал ссылку на него? Я думал вы лучше знаете :) По rpm -qf они не признаются. Посмотрел в пакет ppp, такого не заметил... -- Lav Виталий Липатов ФГУП "ЦНИИ Судовой Электротехники и Технологии", Санкт-Петербург GNU! Linux! LaTeX! LyX! ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-22 20:05 ` Vitaly Lipatov @ 2002-04-22 23:21 ` Любимов А.В. 2002-04-23 6:57 ` Vitaly Lipatov 0 siblings, 1 reply; 27+ messages in thread From: Любимов А.В. @ 2002-04-22 23:21 UTC (permalink / raw) To: sisyphus > По rpm -qf они не признаются. Посмотрел в пакет ppp, > такого не заметил... молчал, но все таки встряну. это всякие линуксконфы и дракеконфы любят такое делать, если им поставить галку менять днс при коннекте ppp. -- С уважением,Любимов А.В. ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-22 23:21 ` Любимов А.В. @ 2002-04-23 6:57 ` Vitaly Lipatov 2002-04-23 13:50 ` Любимов А.В. 0 siblings, 1 reply; 27+ messages in thread From: Vitaly Lipatov @ 2002-04-23 6:57 UTC (permalink / raw) To: sisyphus On 23 April 2002 03:21, Любимов А.В. wrote: > > По rpm -qf они не признаются. Посмотрел в пакет ppp, > > такого не заметил... > > молчал, но все таки встряну. Что ж вы молчали!! :) > это всякие линуксконфы и дракеконфы любят такое делать, если им поставить > галку менять днс при коннекте ppp. В общем я понял так, что мне просто надо скопировать resolv.conf на своё место в /etc и забыть про это. Хотя может надо и в скрипте копирования этого файла в /var/resolv указать ключик, чтобы он копировал содержимое файла, а не ссылку? -- Lav Виталий Липатов ФГУП "ЦНИИ Судовой Электротехники и Технологии", Санкт-Петербург GNU! Linux! LaTeX! LyX! ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-23 6:57 ` Vitaly Lipatov @ 2002-04-23 13:50 ` Любимов А.В. 0 siblings, 0 replies; 27+ messages in thread From: Любимов А.В. @ 2002-04-23 13:50 UTC (permalink / raw) To: sisyphus On Tue, 23 Apr 2002 10:57:38 +0400 "Vitaly Lipatov" <LAV@VL3143.spb.edu> wrote: > On 23 April 2002 03:21, Любимов А.В. wrote: > > > По rpm -qf они не признаются. Посмотрел в пакет ppp, > > > такого не заметил... > > > > молчал, но все таки встряну. > Что ж вы молчали!! :) давно не пользовался ни *конфами ни даже модемами. а после того как Марка Твена обозвал Жюлем Верном, стараюсь поменьше разбрасывать полузабытые сведения :) > > это всякие линуксконфы и дракеконфы любят такое делать, если им > > поставить галку менять днс при коннекте ppp. > В общем я понял так, что мне просто надо скопировать resolv.conf на своё > место в /etc и забыть про это. конечно. и проверить работоспособность днс после поднятия PPP. > Хотя может надо и в скрипте копирования этого файла в /var/resolv > указать ключик, чтобы он копировал содержимое файла, а не ссылку? у меня тоже возникла такая мысль. хотелось бы услышать, что по этому поводу думают те, кто устроил чрутизацию всего и вся :) -- С уважением,Любимов А.В. ^ permalink raw reply [flat|nested] 27+ messages in thread
* [sisyphus] Re: chrooted ping, traceroute and resolveip 2002-04-21 8:52 ` Alexey Morozov 2002-04-21 9:30 ` Vitaly Lipatov @ 2002-04-21 10:31 ` Michael Shigorin 2002-04-22 9:23 ` Dmitry V. Levin 2002-04-22 9:21 ` [sisyphus] " Dmitry V. Levin 2 siblings, 1 reply; 27+ messages in thread From: Michael Shigorin @ 2002-04-21 10:31 UTC (permalink / raw) To: Sisyphus Mailing list [-- Attachment #1: Type: text/plain, Size: 573 bytes --] On Sun, Apr 21, 2002 at 03:52:00PM +0700, Alexey Morozov wrote: > 2ldv: А стоит ли овчинка выделки? Или таки хочется все, потенциально > опасное отделить и запереть в песочнице? А весь линух туда не > перекочует? :) -- или :( ? PS: а все-таки: сильно ли много смысла в "серьезном" чруте при hardlinked libraries? Т.е. понятно, что больше нуля -- но вот не окажется ли "успокаивающей таблеткой"... PPS: сильно не хватает логоразбиралок, например. P^3S: молчу, молчу... :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] Re: chrooted ping, traceroute and resolveip 2002-04-21 10:31 ` [sisyphus] " Michael Shigorin @ 2002-04-22 9:23 ` Dmitry V. Levin 2002-04-22 9:47 ` Alexey Morozov 2002-04-22 11:16 ` [sisyphus] " Michael Shigorin 0 siblings, 2 replies; 27+ messages in thread From: Dmitry V. Levin @ 2002-04-22 9:23 UTC (permalink / raw) To: ALT Linux Sisyphus mailing list [-- Attachment #1: Type: text/plain, Size: 744 bytes --] On Sun, Apr 21, 2002 at 01:31:33PM +0300, Michael Shigorin wrote: > PS: а все-таки: сильно ли много смысла в "серьезном" чруте при > hardlinked libraries? Т.е. понятно, что больше нуля -- но вот не > окажется ли "успокаивающей таблеткой"... Почему Вы связываете "hardlinked libraries" с "успокаивающей таблеткой"? Ведь для readonly chrooted environments именно hardlinked libraries наиболее эффективны. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.com/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] Re: chrooted ping, traceroute and resolveip 2002-04-22 9:23 ` Dmitry V. Levin @ 2002-04-22 9:47 ` Alexey Morozov 2002-04-22 10:09 ` Dmitry V. Levin 2002-04-22 11:16 ` [sisyphus] " Michael Shigorin 1 sibling, 1 reply; 27+ messages in thread From: Alexey Morozov @ 2002-04-22 9:47 UTC (permalink / raw) To: Sisyphus Mailing list В Пнд, 22.04.2002, в 16:23, Dmitry V. Levin написал: > > PS: а все-таки: сильно ли много смысла в "серьезном" чруте при > > hardlinked libraries? Т.е. понятно, что больше нуля -- но вот не > > окажется ли "успокаивающей таблеткой"... > Почему Вы связываете "hardlinked libraries" с "успокаивающей таблеткой"? > Ведь для readonly chrooted environments именно hardlinked libraries > наиболее эффективны. Беда в том, что настоящий параноик никогда не станет использовать в chrooted и обычном окружении одни и те же библиотеки. Потому как, сдается мне, если кто-то пробил глупую но счрученную программу, то уж модифицировать библиотеки он с высокой долей вероятности тоже сможет. Или я чего-то недопонимаю в теории? ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] Re: chrooted ping, traceroute and resolveip 2002-04-22 9:47 ` Alexey Morozov @ 2002-04-22 10:09 ` Dmitry V. Levin 2002-04-22 10:48 ` [sisyphus] " Alexey Morozov 0 siblings, 1 reply; 27+ messages in thread From: Dmitry V. Levin @ 2002-04-22 10:09 UTC (permalink / raw) To: ALT Linux Sisyphus mailing list [-- Attachment #1: Type: text/plain, Size: 1497 bytes --] On Mon, Apr 22, 2002 at 04:47:21PM +0700, Alexey Morozov wrote: > > > PS: а все-таки: сильно ли много смысла в "серьезном" чруте при > > > hardlinked libraries? Т.е. понятно, что больше нуля -- но вот не > > > окажется ли "успокаивающей таблеткой"... > > Почему Вы связываете "hardlinked libraries" с "успокаивающей таблеткой"? > > Ведь для readonly chrooted environments именно hardlinked libraries > > наиболее эффективны. > Беда в том, что настоящий параноик никогда не станет использовать в > chrooted и обычном окружении одни и те же библиотеки. Потому как, Параноидальность не является заменой грамотности. > сдается мне, если кто-то пробил глупую но счрученную программу, то уж > модифицировать библиотеки он с высокой долей вероятности тоже сможет. Это примерно то же самое, как если бы Вы стали утверждать, будто каждый автор знает, как сломать свою программу. :) > Или я чего-то недопонимаю в теории? Chroot'ы бывают разные. /var/resolv представляет собой пример readonly chroot'а; это значит, что ни одна из программ, использующих этот chroot, на момент завершения перехода в chroot не имеет прав, необходимых для изменения чего-либо в нем. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.com/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-22 10:09 ` Dmitry V. Levin @ 2002-04-22 10:48 ` Alexey Morozov 2002-04-22 11:06 ` Dmitry V. Levin 0 siblings, 1 reply; 27+ messages in thread From: Alexey Morozov @ 2002-04-22 10:48 UTC (permalink / raw) To: Sisyphus Mailing list В Пнд, 22.04.2002, в 17:09, Dmitry V. Levin написал: > > Беда в том, что настоящий параноик никогда не станет использовать в > > chrooted и обычном окружении одни и те же библиотеки. Потому как, > Параноидальность не является заменой грамотности. :-) > > сдается мне, если кто-то пробил глупую но счрученную программу, то уж > > модифицировать библиотеки он с высокой долей вероятности тоже сможет. > Это примерно то же самое, как если бы Вы стали утверждать, будто каждый > автор знает, как сломать свою программу. :) Э-э-э, не-е-е... Собственно, что обычно понимается под взломом? умение выполнить некоторый (желательно, произвольный) сисколл от имени привилегированного пользователя. То, что этим сисколлом должен быть chmod/setcap/whatever else а не напрямую execlp("/bin/bash"), ну, это, несущественное дополнение, по-моему... > > Или я чего-то недопонимаю в теории? > Chroot'ы бывают разные. /var/resolv представляет собой пример readonly > chroot'а; это значит, что ни одна из программ, использующих этот chroot, > на момент завершения перехода в chroot не имеет прав, необходимых для > изменения чего-либо в нем. Ну, я, конечно, пошел делать apt-get dist-upgrade, но, сдается мне, данное мероприятие, увы, не серебряная пуля... ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-22 10:48 ` [sisyphus] " Alexey Morozov @ 2002-04-22 11:06 ` Dmitry V. Levin 2002-04-22 13:15 ` Alexey Morozov 0 siblings, 1 reply; 27+ messages in thread From: Dmitry V. Levin @ 2002-04-22 11:06 UTC (permalink / raw) To: ALT Linux Sisyphus mailing list [-- Attachment #1: Type: text/plain, Size: 1100 bytes --] On Mon, Apr 22, 2002 at 05:48:02PM +0700, Alexey Morozov wrote: > > > Или я чего-то недопонимаю в теории? > > Chroot'ы бывают разные. /var/resolv представляет собой пример readonly > > chroot'а; это значит, что ни одна из программ, использующих этот chroot, > > на момент завершения перехода в chroot не имеет прав, необходимых для > > изменения чего-либо в нем. > Ну, я, конечно, пошел делать apt-get dist-upgrade, но, сдается мне, > данное мероприятие, увы, не серебряная пуля... Как уже было замечено, если один из файлов /etc/{localtime,hosts,services,{host,nsswitch,resolv}.conf} представляет собой symlink и находится на одном разделе с /var/resolv, то resolving может давать сбои или вообще не работать. То же самое касается и всех остальных chroot'ов. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.com/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-22 11:06 ` Dmitry V. Levin @ 2002-04-22 13:15 ` Alexey Morozov 2002-04-22 13:45 ` Dmitry V. Levin 0 siblings, 1 reply; 27+ messages in thread From: Alexey Morozov @ 2002-04-22 13:15 UTC (permalink / raw) To: Sisyphus Mailing list В Пнд, 22.04.2002, в 18:06, Dmitry V. Levin написал: > > Ну, я, конечно, пошел делать apt-get dist-upgrade, но, сдается мне, > > данное мероприятие, увы, не серебряная пуля... > Как уже было замечено, если один из файлов > /etc/{localtime,hosts,services,{host,nsswitch,resolv}.conf} представляет > собой symlink и находится на одном разделе с /var/resolv, то resolving > может давать сбои или вообще не работать. То же самое касается и всех > остальных chroot'ов. Хм, я, собственно, про степень защищенности. А так, понятно, конечно, что в чруте должно быть все "настоящее", собственно, я про это с самого начала написал... Но вот вопрос: а насколько засовывание ping & Co в чрут увеличивает защищенность системы - по-прежнему, для меня вопрос... Ладно, это так, мысли вслух, с ним, как и с non-executable стеком если не легче, то, во всяком случае, спокойнее :-). ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-22 13:15 ` Alexey Morozov @ 2002-04-22 13:45 ` Dmitry V. Levin 2002-04-22 13:57 ` Alexey Morozov 0 siblings, 1 reply; 27+ messages in thread From: Dmitry V. Levin @ 2002-04-22 13:45 UTC (permalink / raw) To: ALT Linux Sisyphus mailing list [-- Attachment #1: Type: text/plain, Size: 997 bytes --] On Mon, Apr 22, 2002 at 08:15:50PM +0700, Alexey Morozov wrote: > Но вот вопрос: а насколько засовывание ping & Co в чрут увеличивает > защищенность системы - по-прежнему, для меня вопрос... Ладно, это так, Примерно настолько, насколько увеличил бы защищенность системы отказ от использования этих утилит. В случае взлома потенциальный злоумышленник получает процесс с правами непривилегированного пользователя (за исключением nmap и clockdif - у них остается cap_net_raw) в chroot'е, доступном только для чтения. > мысли вслух, с ним, как и с non-executable стеком если не легче, то, во > всяком случае, спокойнее :-). Да, но это иллюзорное спокойствие. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.com/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-22 13:45 ` Dmitry V. Levin @ 2002-04-22 13:57 ` Alexey Morozov 2002-04-22 14:15 ` Dmitry V. Levin 0 siblings, 1 reply; 27+ messages in thread From: Alexey Morozov @ 2002-04-22 13:57 UTC (permalink / raw) To: Sisyphus Mailing list В Пнд, 22.04.2002, в 20:45, Dmitry V. Levin написал: > Примерно настолько, насколько увеличил бы защищенность системы отказ от > использования этих утилит. В случае взлома потенциальный злоумышленник > получает процесс с правами непривилегированного пользователя (за > исключением nmap и clockdif - у них остается cap_net_raw) в chroot'е, > доступном только для чтения. Ладно, почти верю, убедили :-) > > мысли вслух, с ним, как и с non-executable стеком если не легче, то, во > > всяком случае, спокойнее :-). > Да, но это иллюзорное спокойствие. :-). ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-22 13:57 ` Alexey Morozov @ 2002-04-22 14:15 ` Dmitry V. Levin 0 siblings, 0 replies; 27+ messages in thread From: Dmitry V. Levin @ 2002-04-22 14:15 UTC (permalink / raw) To: ALT Linux Sisyphus mailing list [-- Attachment #1: Type: text/plain, Size: 1463 bytes --] On Mon, Apr 22, 2002 at 08:57:48PM +0700, Alexey Morozov wrote: > > Примерно настолько, насколько увеличил бы защищенность системы отказ от > > использования этих утилит. В случае взлома потенциальный злоумышленник > > получает процесс с правами непривилегированного пользователя (за > > исключением nmap и clockdif - у них остается cap_net_raw) в chroot'е, > > доступном только для чтения. > Ладно, почти верю, убедили :-) Зачем верить, когда можно проверить. А проверить нужно, что: + права на объекты в chroot'е не позволяют непривилегированному пользователю вносить какие-либо изменения в него; + процесс по окончании перехода в chroot должен быть в достаточной мере непривилегированным (*uid > 0, *gid >0, пустой supplementary group list, никаких cap_*, кроме необходимых, причем последние не могут содержать расширяющие доступ к устройствам, файловой системе и процессам); + у процесса по окончании перехода в chroot не остается ни одного дескриптора файла, открытого для записи (кроме 0,1,2, устройств типа /dev/null и сокетов); + процесс начинает обрабатывать пакеты из сети после перехода в chroot. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.com/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* [sisyphus] Re: chrooted ping, traceroute and resolveip 2002-04-22 9:23 ` Dmitry V. Levin 2002-04-22 9:47 ` Alexey Morozov @ 2002-04-22 11:16 ` Michael Shigorin 1 sibling, 0 replies; 27+ messages in thread From: Michael Shigorin @ 2002-04-22 11:16 UTC (permalink / raw) To: ALT Linux Sisyphus mailing list [-- Attachment #1: Type: text/plain, Size: 514 bytes --] On Mon, Apr 22, 2002 at 01:23:05PM +0400, Dmitry V. Levin wrote: > Почему Вы связываете "hardlinked libraries" с "успокаивающей таблеткой"? > Ведь для readonly chrooted environments именно hardlinked libraries > наиболее эффективны. А как реализуется readonly? Дмитрий, я извиняюсь за попытки "разобраться по-чайницки" -- сесть и рассмотреть слегка проблематично, особенно из-за хронического "ендосизифливания" :-/ -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] chrooted ping, traceroute and resolveip 2002-04-21 8:52 ` Alexey Morozov 2002-04-21 9:30 ` Vitaly Lipatov 2002-04-21 10:31 ` [sisyphus] " Michael Shigorin @ 2002-04-22 9:21 ` Dmitry V. Levin 2 siblings, 0 replies; 27+ messages in thread From: Dmitry V. Levin @ 2002-04-22 9:21 UTC (permalink / raw) To: ALT Linux Sisyphus mailing list [-- Attachment #1: Type: text/plain, Size: 874 bytes --] On Sun, Apr 21, 2002 at 03:52:00PM +0700, Alexey Morozov wrote: > > > Насколько мне известно, ущерба функциональности ни одной из этих программ > > > не нанесено. > > Вот в этом у меня и вопрос. > В счрученном (руссификация терминов рулит) /etc/resolv.conf (где он там, > в /var/resolv/etc/resolv.conf?) что написано? Указан ли адрес Вашего > нэймсервера... > > 2ldv: А стоит ли овчинка выделки? Или таки хочется все, потенциально Конечно, стоит; у программы должно быть ровно столько прав, сколько ей нужно, и не капли сверх этого. Regards, Dmitry +-------------------------------------------------------------------------+ Dmitry V. Levin mailto://ldv@alt-linux.org ALT Linux Team http://www.altlinux.com/ +-------------------------------------------------------------------------+ UNIX is user friendly. It's just very selective about who its friends are. [-- Attachment #2: Type: application/pgp-signature, Size: 232 bytes --] ^ permalink raw reply [flat|nested] 27+ messages in thread
* [sisyphus] Re: chrooted ping, traceroute and resolveip 2002-04-20 12:57 [sisyphus] chrooted ping, traceroute and resolveip Vitaly Lipatov 2002-04-20 14:30 ` Mike A. Plugnikov @ 2002-04-20 16:50 ` Michael Shigorin 2002-04-20 17:54 ` Vitaly Lipatov 1 sibling, 1 reply; 27+ messages in thread From: Michael Shigorin @ 2002-04-20 16:50 UTC (permalink / raw) To: sisyphus On Sat, Apr 20, 2002 at 04:57:55PM +0400, Vitaly Lipatov wrote: > И, заодно, почему в MySQL-client лежит resolveip, > который выдает текстовый адрес сервера из его IP, > и есть ли подобные стандартные программы. host? :) -- ---- WBR, Michael Shigorin <mike@altlinux.ru> ------ Linux.Kiev http://www.linux.kiev.ua/ ^ permalink raw reply [flat|nested] 27+ messages in thread
* Re: [sisyphus] Re: chrooted ping, traceroute and resolveip 2002-04-20 16:50 ` [sisyphus] " Michael Shigorin @ 2002-04-20 17:54 ` Vitaly Lipatov 0 siblings, 0 replies; 27+ messages in thread From: Vitaly Lipatov @ 2002-04-20 17:54 UTC (permalink / raw) To: sisyphus On 20 April 2002 20:50, Michael Shigorin wrote: > On Sat, Apr 20, 2002 at 04:57:55PM +0400, Vitaly Lipatov wrote: > > И, заодно, почему в MySQL-client лежит resolveip, > > который выдает текстовый адрес сервера из его IP, > > и есть ли подобные стандартные программы. > > host? :) :) Спасибо! -- Lav Виталий Липатов ФГУП "ЦНИИ Судовой Электротехники и Технологии", Санкт-Петербург GNU! Linux! LaTeX! LyX! ^ permalink raw reply [flat|nested] 27+ messages in thread
end of thread, other threads:[~2002-04-23 13:50 UTC | newest] Thread overview: 27+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2002-04-20 12:57 [sisyphus] chrooted ping, traceroute and resolveip Vitaly Lipatov 2002-04-20 14:30 ` Mike A. Plugnikov 2002-04-20 14:43 ` Vitaly Lipatov 2002-04-21 8:52 ` Alexey Morozov 2002-04-21 9:30 ` Vitaly Lipatov 2002-04-21 10:32 ` Alexey Morozov 2002-04-21 11:06 ` Vitaly Lipatov 2002-04-21 11:16 ` Vitaly Lipatov 2002-04-22 9:18 ` Dmitry V. Levin 2002-04-22 20:05 ` Vitaly Lipatov 2002-04-22 23:21 ` Любимов А.В. 2002-04-23 6:57 ` Vitaly Lipatov 2002-04-23 13:50 ` Любимов А.В. 2002-04-21 10:31 ` [sisyphus] " Michael Shigorin 2002-04-22 9:23 ` Dmitry V. Levin 2002-04-22 9:47 ` Alexey Morozov 2002-04-22 10:09 ` Dmitry V. Levin 2002-04-22 10:48 ` [sisyphus] " Alexey Morozov 2002-04-22 11:06 ` Dmitry V. Levin 2002-04-22 13:15 ` Alexey Morozov 2002-04-22 13:45 ` Dmitry V. Levin 2002-04-22 13:57 ` Alexey Morozov 2002-04-22 14:15 ` Dmitry V. Levin 2002-04-22 11:16 ` [sisyphus] " Michael Shigorin 2002-04-22 9:21 ` [sisyphus] " Dmitry V. Levin 2002-04-20 16:50 ` [sisyphus] " Michael Shigorin 2002-04-20 17:54 ` Vitaly Lipatov
ALT Linux Sisyphus discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/sisyphus/0 sisyphus/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 sisyphus sisyphus/ http://lore.altlinux.org/sisyphus \ sisyphus@altlinux.ru sisyphus@altlinux.org sisyphus@lists.altlinux.org sisyphus@lists.altlinux.ru sisyphus@lists.altlinux.com sisyphus@linuxteam.iplabs.ru sisyphus@list.linux-os.ru public-inbox-index sisyphus Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.sisyphus AGPL code for this site: git clone https://public-inbox.org/public-inbox.git